Добрый день! Opensuse 12.2, установлен squid 2.7
Домен контроллер win2008r2. Проблема в том, что пользователь домена при открытии браузера сообщает о логине и пароле, при вводе ничего не изменяется.
мои настройки:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Squid.conf
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param ntlm keep_alive off
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 50
auth_param basic realm Proxy Autentification Required
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
external_acl_type nt_group %LOGIN /usr/sbin/wbinfo_group.pl
acl myusers proxy_auth REQUIRED
http_access allow myusers
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
smb.conf
[global]
auth methods = winbind
workgroup = DD
netbios name = rdp
server string = "rdp linux"
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
load printers = no
log file = /var/log/samba/log.%m
max log size = 50
hosts allow = 192.168.
security = ads
password server = 192.168.12.2
realm = DD.LOCAL
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd
socket options = TCP_NODELAY
local master = no
os level = 33
name resolve order = wins lmhosts bcast
wins support = yes
dns proxy = no
dos charset = CP866
unix charset = CP1251
display charset = CP1251
use sendfile = no
time server = yes
[homes]
comment = Home directory for '%u'
path = /home/%u
browseable = no
writable = yes
[public]
comment = Public
path = /mnt/samba/public
public = yes
writable = yes
printable = no
create mask = 0666
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
krb5.conf
[libdefaults]
default_realm = DD.LOCAL
[realms]
DD.LOCAL = {
kdc = 192.168.12.2
admin_server = 192.168.12.2
}
[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
nsswitch.conf
group: files winbind
passwd: files winbind
group_compat: nis
passwd_compat: nis
hosts: files dns
networks: files
shells: files
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
команды wbinfo -u и wbinfo -g выводят пользователей и группы, ошибок нет, в чем может быть проблема?
пока могу сказать что конфиг самбы и кербероса верный, с остальным не работал пока, поэтому к сожалению ничего не могу сказать..
машина со squid введена в домен? Другие браузеры исполизовались?
в конфиге сквида auth_param basic realm DD.LOCAL вместо auth_param basic realm Proxy Autentification Required
что говорит команда kinit user_ad (любой пользователь из AD)
еще бы не помешало глянуть логи squid
Все глюки Windows исправляются установкой Linux!
да да, что там? изменения пробовали? помогло?
заглохла тема да? я пока, что остановился на том, что после запроса пароля в браузере, после трех раз ввода логина пасса правильного, выводится сообщение "Cache Access Denied" - пока курю маны) - идеи есть?
vlad_stv конфиг сквида можно
Все глюки Windows исправляются установкой Linux!
попробуйте 3ий сквид
Профессиональный тролль. Работаю за еду.
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param ntlm keep_alive off
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 50
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
external_acl_type nt_group %LOGIN /usr/sbin/wbinfo_group.pl
acl all src 0.0.0.0/0.0.0.0
acl localnet src хх.хх.ххх.х/21
acl Low external nt_group white
acl nt_group proxy_auth REQUIRED
#acl serega src 10.26.136.96
#acl white_list url_regex -i "/etc/squid/white_list"
#acl black_list url_regex -i "/etc/squid/black_list"
http_port 10.26.136.45:3128
#http_port 10.26.136.45:3127 transparent
#http_access allow white_list
#http_access allow serega
#http_access deny black_list
http_access allow Low
http_access deny localnet
http_access deny all
#acl white_list url_regex -i "/etc/squid/white_list"
#acl black_list url_regex -i "/etc/squid/black_list"
#acl Low external nt_group white
#acl nt_group proxy_auth REQUIRED
#http_access allow Low white_list
#http_access deny Low
access_log /var/log/squid/access.log
logfile_rotate 100
delay_pools 1
delay_class 1 1
delay_parameters 1 -1/-1 500000/5000000
delay_access 1 allow localnet
delay_access 1 deny all
пока пробую 2.7 squid+ Smaba 3.6 на релизе openSUSE 12.2
заметил, что самба уже явно работает немного по другому, чем в дистрибутиве 11.4.
да и этот долбанный systemctl, никак не могу к нему привыкнуть, хотя по тихой врубаюсь, что штука очень полезная
а где
acl safe_ports port 80 # http
acl safe_ports port 443 # ssl
?
а еще
access_log squid можно глянуть
Все глюки Windows исправляются установкой Linux!
порты обязательно надо было указывать? я их указал в SUSeFirewall2
1366604034.159 0 xx.xx.xxx.xx TCP_DENIED/407 1746 GET http://www.msftncsi.com/ncsi.txt - NONE/- text/html
1366604034.179 3 xx.xx.xxx.xx TCP_DENIED/407 1720 GET http://www.msftncsi.com/ncsi.txt - NONE/- text/html
1366604362.885 0 xx.xx.xxx.xx TCP_DENIED/407 1806 GET http://javadl-esd.sun.com/update/1.6.0/map-1.6.0.xml - NONE/- text/html
1366604362.904 0 xx.xx.xxx.xx TCP_DENIED/407 1936 GET http://javadl-esd.sun.com/update/1.6.0/map-1.6.0.xml - NONE/- text/html
1366604362.919 0 xx.xx.xxx.xx TCP_DENIED/407 1806 GET http://javadl-esd.sun.com/update/1.6.0/map-1.6.0.xml - NONE/- text/html
1366606279.586 0 xx.xx.xxx.xx TCP_DENIED/407 1689 GET http://ya.ru/ - NONE/- text/html
1366606279.605 3 xx.xx.xxx.xx TCP_DENIED/407 1819 GET http://ya.ru/ - NONE/- text/html
1366606279.618 0 xx.xx.xxx.xx TCP_DENIED/407 1689 GET http://ya.ru/ - NONE/- text/html
1366606282.269 0 xx.xx.xxx.xx TCP_DENIED/407 1819 GET http://ya.ru/ - NONE/- text/html
1366606282.292 0 xx.xx.xxx.xx TCP_DENIED/407 1689 GET http://ya.ru/ - NONE/- text/html
1366606289.361 0 xx.xx.xxx.xx TCP_DENIED/407 1819 GET http://ya.ru/ - NONE/- text/html
1366606289.379 0 xx.xx.xxx.xx TCP_DENIED/407 1689 GET http://ya.ru/ - NONE/- text/html
1366606292.762 0 xx.xx.xxx.xx TCP_DENIED/407 1722 GET http://ya.ru/favicon.ico - NONE/- text/html
1366606292.776 0 xx.xx.xxx.xx TCP_DENIED/407 1852 GET http://ya.ru/favicon.ico - NONE/- text/html
1366606292.789 0 xx.xx.xxx.xx TCP_DENIED/407 1722 GET http://ya.ru/favicon.ico - NONE/- text/html
1366617636.078 0 xx.xx.xxx.xx TCP_DENIED/407 1689 GET http://ya.ru/ - NONE/- text/html
1366617636.108 3 xx.xx.xxx.xx TCP_DENIED/407 1819 GET http://ya.ru/ - NONE/- text/html
1366617636.122 0 xx.xx.xxx.xx TCP_DENIED/407 1689 GET http://ya.ru/ - NONE/- text/html
1366617646.783 0 xx.xx.xxx.xx TCP_DENIED/407 1819 GET http://ya.ru/ - NONE/- text/html
1366617646.797 0 xx.xx.xxx.xx TCP_DENIED/407 1689 GET http://ya.ru/ - NONE/- text/html
1366617648.106 0 xx.xx.xxx.xx TCP_DENIED/407 1819 GET http://ya.ru/ - NONE/- text/html
1366617648.129 0 xx.xx.xxx.xx TCP_DENIED/407 1689 GET http://ya.ru/ - NONE/- text/html
1366617648.508 0 xx.xx.xxx.xx TCP_DENIED/407 1819 GET http://ya.ru/ - NONE/- text/html
1366617648.529 0 xx.xx.xxx.xx TCP_DENIED/407 1689 GET http://ya.ru/ - NONE/- text/html
1366617648.586 0 xx.xx.xxx.xx TCP_DENIED/407 1722 GET http://ya.ru/favicon.ico - NONE/- text/html
1366617648.604 0 xx.xx.xxx.xx TCP_DENIED/407 1852 GET http://ya.ru/favicon.ico - NONE/- text/html
1366617648.619 0 xx.xx.xxx.xx TCP_DENIED/407 1722 GET http://ya.ru/favicon.ico - NONE/- text/html
1366617854.660 0 xx.xx.xxx.xx TCP_DENIED/407 1806 GET http://javadl-esd.sun.com/update/1.6.0/map-1.6.0.xml - NONE/- text/html
1366617854.678 0 xx.xx.xxx.xx TCP_DENIED/407 1936 GET http://javadl-esd.sun.com/update/1.6.0/map-1.6.0.xml - NONE/- text/html
1366617854.692 0 xx.xx.xxx.xx TCP_DENIED/407 1806 GET http://javadl-esd.sun.com/update/1.6.0/map-1.6.0.xml - NONE/- text/html
firewall firewall'ом а конфиг сквида другое
дописывай правлила разрешенных портов для пользователей сквида
acl safe_ports port как я писал
Все глюки Windows исправляются установкой Linux!
и еще лог /var/squid/logs/cache.log
Все глюки Windows исправляются установкой Linux!
cache.rar
имеет ли значение территориальное расположение этих строк относительно файла?или куда в кайф было написать туда и написал, и всё корректно будет работать?
в # Рекомендованная минимальная конфигурация:
после acl
all src 0.0.0.0/0.0.0.0
acl localnet src хх.хх.ххх.х/21
acl Low external nt_group white
acl nt_group proxy_auth REQUIRED
#acl serega src 10.26.136.96
#acl white_list url_regex -i "/etc/squid/white_list"
#acl black_list url_regex -i "/etc/squid/black_list"
и как успехи?
Все глюки Windows исправляются установкой Linux!
кстати в кэш лог ошибки есть в конфиге сквида
2013/04/19 15:27:52| parseConfigFile: squid.conf:17 unrecognized: ' #acl'
2013/04/19 15:27:52| parseConfigFile: squid.conf:18 unrecognized: ' #acl'
2013/04/19 15:27:52| parseConfigFile: squid.conf:19 unrecognized: ' #acl'
2013/04/19 15:27:52| parseConfigFile: squid.conf:21 unrecognized: ' #http_port'
2013/04/19 15:27:52| parseConfigFile: squid.conf:22 unrecognized: ' #http_access'
2013/04/19 15:27:52| parseConfigFile: squid.conf:23 unrecognized: ' #http_access'
2013/04/19 15:27:52| parseConfigFile: squid.conf:24 unrecognized: ' #http_access'
соотвественно смотри с 17 по 24 строчку squid.conf
Все глюки Windows исправляются установкой Linux!
да эти строки в кэше посмотри за какое число, там всё давно исправленно, это я просто заремаренные строки хотел для себя выделить табуляцией,а если так выделять, то он начинает их читать как настоящие, ремарку снимает, вот и выдал ошибку.
немного не понял, что ты мне предлагаешь? всё очистить и вписать вот это?
так у меня так и написано. я просто взял в самом верху файла конфига добавил строчки с портами
acl ssl_ports port 443 #ssl
acl safe_ports port 80 #http
acl safe_ports port 443 #https
после введенных строк об описании портов, ничего не изменилось
Права какие стоят и кто владелец:группа на /var/lib/samba/winbindd_privileged
winbind работает?
и еще что говорит /usr/bin/ntlm_auth --username=user_из_AD
первый запуск squid: squid -z ,т.е. кэш создавался?
Все глюки Windows исправляются установкой Linux!
/usr/bin/ntlm_auth --username=user_из_AD
говорит password:
ввожу пароль
NT_STATUS_OK: Success (0x0)
winbind работает
"squid -z" - первый раз не так запускал
"squid -k reconfigure
systemctl start squid.service" - вот такой был первый запуск после сборки конфига
права на папку "rwxr-x---", дать всем read?
мне кажется корень зла в этой строчке в логах "TCP_DENIED/407"
может фаервол?
а может и права на ту папку?
отключаю фаервол....
не помогло
что ж тогда обратимся к первоисточнику. http://wiki.squid-cache.org/SquidFaq/InstallingSquid
там как раз описано почему надо запускать squid c ключом -z.
mcedit /etc/squid/squid.conf в конец файла строку
coredump_dir /var/cache/squid
/usr/sbin/squid -z
Все глюки Windows исправляются установкой Linux!
все сделал.изменений никаких. "TCP_DENIED/407"
в squid.conf http_port 10.26.136.45:3128 исправить на http_port 10.26.136.45:3128 transparent, также добавить в конфиг для отладки
debug_options ALL,1 33,2 28,9
в etc/sysconfig/SuSEfirewall2 интересуют строчки
FW_REDIRECT=
FW_ROUTE=
также access.log и cache.log
и по моему не хватает разрешения для acl
http_access allow nt_group
Все глюки Windows исправляются установкой Linux!
FW_REDIRECT="пусто"
FW_ROUTE="yes"
FW_FORWARD_MASQ="заполнено как надо"
строчки добавил, толку ноль
logisquid.rar
FW_REDIRECT="192.168.2.0/24,0/0,tcp,80,3128" - перенаправить весь трафик, идущий на 80 порт, на 3128
и в squid.conf
http_access allow nt_group
Все глюки Windows исправляются установкой Linux!
зачем делать прямой проброс?
FW_FORWARD_MASQ="10.26.136.0/21,192.168.1.14(wifi),tcp,80,3128,0.0.0.0/0" и тоже самое для 443
ладно. я то не знал что там у тебя прописано было FW_FORWARD_MASQ
squid перезапускал после добавления строчки с debug ?
что там с владельцем каталога /var/lib/samba/winbindd_privileged должна быть группа squid (посмотреть можно с помощью ls- l)
Все глюки Windows исправляются установкой Linux!
нет, перезапускал но без debuga. синтаксис какой?
P.S. ковыряю гугл второй день, ничего полезного не нашел
щас скрин выложу, что выдаёт эксплорер
Результат IE8
добавить в конфиг squid для отладки
debug_options ALL,1 33,2 28,9
Все глюки Windows исправляются установкой Linux!
squid -z делал?
Все глюки Windows исправляются установкой Linux!
да,делал
добавил,щас протестю,выложу логи
изменений ноль
в логах нашел две строчки интересные
"2013/04/24 15:28:08| The request GET http://ya.ru/favicon.ico is DENIED, because it matched 'Low'
2013/04/24 15:28:08| The reply for GET http://ya.ru/favicon.ico is ALLOWED, because it matched 'Low'"
logisquid.rar
а если после строчки http_access allow Low добавить http_access allow all
и посмотреть что получится
и что там с владельцем каталога /var/lib/samba/winbindd_privileged
Все глюки Windows исправляются установкой Linux!
с каталогом всё как и было
drwxr-x--- 2 root winbind
щас посмотрю, что получится
без изменений
мне кажется я неправильно пишу саму группу домена
было так:
white
изменил на
@FGU\white
толку ноль, но лог говорит "no match, returning 0"
значит решение рядом)
echo user domain_group | /usr/sbin/wbinfo_group.pl
Failed to call wbcSidToGid: WBC_ERR_DOMAIN_NOT_FOUND
Could not convert sid №№№№№ to gid
E
RR
smb.conf можно глянуть?
Все глюки Windows исправляются установкой Linux!
smb.rar
главное
wbinfo -a username@DOMAIN_name%password
всё саксесс)
а под доменным пользователем зайти на машину не могу
глянь 24 комент https://bugzilla.samba.org/show_bug.cgi?id=8676
Все глюки Windows исправляются установкой Linux!
судя по пингам, компы резолвит наугад, какие то пингует доменные имена какие то нет...ковыряю
resolf.conf в поряде
domain serach netbios_name.domain_name
nameserver xx.xx.xxx.x
nameserver 192.168.1.14 (wifi инет)
не,не,думаю проблема должна решится проще
а если прописать вместо domain serach netbios_name.domain_name
serach domain.local
domain domain.local
как пинги ходить будут? dns где крутится?
Все глюки Windows исправляются установкой Linux!
DNS на сервере домена
да всех остальных сервах у меня таклй же resolf, а вот nsswitch я изменял
#
# /etc/nsswitch.conf
#
# An example Name Service Switch config file. This file should be
# sorted with the most-used services at the beginning.
#
# The entry '[NOTFOUND=return]' means that the search for an
# entry should stop if the search in the previous entry turned
# up nothing. Note that if the search failed due to some other reason
# (like no NIS server responding) then the search continues with the
# next entry.
#
# Legal entries are:
#
# compat Use compatibility setup
# nisplus Use NIS+ (NIS version 3)
# nis Use NIS (NIS version 2), also called YP
# dns Use DNS (Domain Name Service)
# files Use the local files
# [NOTFOUND=return] Stop searching if not found so far
#
# For more information, please read the nsswitch.conf.5 manual page.
#
#passwd: files winbind compat
#shadow: files winbind compat
#group: files winbind compat
passwd: files winbind
group: files winbind
hosts: files mdns4_minimal [NOTFOUND=return] dns
networks: files dns
#hosts: files dns
#networks: files
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files nis
publickey: files
#protocols: db files
#services: db files
#ethers: db files
#rpc: db files
#netgroup: dns
bootparams: files
automount: files nis
aliases: files
и что теперь говорит echo user domain_group | /usr/sbin/wbinfo_group.pl
Все глюки Windows исправляются установкой Linux!
да ничего, всё тоже самое, я ничего пока не поменял , потому что еще все нормально написано, вроде...
так.всё.резолвит! теперь вопрос? в системе должен быть пользователь "squid"? если да то как правильно его создать? вычитал на одном форуме с такой же ошибкой, что прав на "wbinfo_group.pl у сквида нет"? или они по другому добавляются на этот файл?
а каккие права стоят на /usr/sbin/wbinfo_group.pl (ls-l)
Все глюки Windows исправляются установкой Linux!
Страницы